BundleBot zlonamjerni softver
Varijanta prijetećeg zlonamjernog softvera pod nazivom BundleBot djelovala je tajno, izbjegavajući otkrivanje koristeći tehnike postavljanja .NET jedne datoteke. Ova metoda omogućuje akterima prijetnji da potajno uhvate osjetljive informacije s kompromitiranih hostova.
BundleBot je poznat po iskorištavanju samostalnog formata dotnet paketa (jedna datoteka), što ga sigurnosnim sustavima čini izazovnim za otkrivanje. To rezultira vrlo niskom ili čak nultom statičkom detekcijom, omogućujući zlonamjernom softveru da ostane neotkriven dulje vrijeme na ugroženim uređajima.
Prema nalazima stručnjaka za kibernetičku sigurnost, distribucija BundleBot-a obično se odvija putem Facebook oglasa i kompromitiranih računa, vodeći korisnike koji ništa ne sumnjaju na web-mjesta koja se pretvaraju u uobičajene programske alate, AI alate i igre. Nakon što korisnici pristupe ovim varljivim web stranicama, oni nesvjesno pokreću preuzimanje i pokretanje zlonamjernog softvera, dovodeći svoje sustave i osjetljive podatke u opasnost.
Sadržaj
Cyberkriminalci iskorištavaju popularne AI alate kao mamce za krađu identiteta
Web stranice povezane s napadima BundleBot Malware usvojile su taktiku oponašanja Google Barda, istaknutog generativnog AI chatbota koji je razvila tvrtka. Ove varljive web stranice mame žrtve koje ništa ne sumnjaju nudeći naizgled primamljivu vezu za preuzimanje RAR arhive pod nazivom "Google_AI.rar". Naime, ove lažne arhive nalaze se na legitimnim servisima za pohranu u oblaku kao što je Dropbox.
Korištenje Google Barda kao mamca nije novost s obzirom na sve veću popularnost AI alata. Cyberkriminalci su posljednjih mjeseci iskoristili ovaj trend kako bi prevarili korisnike, posebno na platformama poput Facebooka. Koriste ovu strategiju za tajnu distribuciju raznih vrsta zlonamjernog softvera za prikupljanje informacija, kao što je ozloglašeni Doenerium .
Distribucija ovih nesigurnih poveznica često se događa putem Facebook oglasa i kompromitiranih korisničkih računa. Ovu metodu akteri prijetnji uporno iskorištavaju već neko vrijeme. Kombinirajući ovu taktiku distribucije sa sposobnošću zlonamjernog softvera da krade podatke o Facebook računu žrtve, kibernetički kriminalci stvaraju samoodrživi ciklus koji se hrani njihovim štetnim aktivnostima.
Lanac zaraze prijetnje zlonamjernim softverom BundleBot
Nakon raspakiranja arhive 'Google_AI.rar', korisnici će pronaći izvršnu datoteku pod nazivom 'GoogleAI.exe', koja je .NET samostalna aplikacija s jednom datotekom. Zauzvrat, ova aplikacija dodatno uključuje DLL datoteku pod nazivom "GoogleAI.dll", odgovornu za dohvaćanje ZIP arhive zaštićene lozinkom s Google diska.
U sljedećoj fazi, sadržaj ekstrahiran iz ZIP datoteke pod nazivom 'ADSNEW-1.0.0.3.zip' otkriva još jednu samostalnu aplikaciju .NET s jednom datotekom poznatu kao 'RiotClientServices.exe.' Ova aplikacija nosi BundleBot korisni teret 'RiotClientServices.dll,' kao i Command-and-Control (C2) serijalizator paketnih podataka pod nazivom 'LirarySharing.dll.'
Nakon što se aktivira, BundleBot Malware funkcionira kao prilagođeni i novi kradljivac/bot. Koristi biblioteku 'LirarySharing.dll' za obradu i serijalizaciju paketnih podataka koji se prenose tijekom komunikacije bota s C2 poslužiteljem. Kako bi izbjegli analizu, binarni artefakti koriste prilagođene tehnike maskiranja i uključuju značajnu količinu bezvrijednog koda.
Zlonamjerni softver BundleBot ima prijeteće intruzivne funkcije
Mogućnosti zlonamjernog softvera su alarmantne. Može tajno izvući podatke iz web preglednika, snimiti snimke zaslona, nabaviti Discord tokene, prikupiti informacije iz Telegrama i prikupiti podatke o Facebook računu. Zlonamjerni softver djeluje kao sofisticirani bot za krađu podataka, ugrožavajući osjetljive informacije iz različitih izvora bez znanja korisnika.
Zanimljivo je da postoji drugi uzorak BundleBota, gotovo identičan u svim aspektima osim jedne ključne razlike. Ova varijanta koristi HTTPS za eksfiltraciju ukradenih informacija na udaljeni poslužitelj. Ukradeni podaci se eksfiltriraju kao ZIP arhiva, omogućujući napadačima da diskretno prenesu podatke žrtve bez izazivanja sumnje.
